简介
尽管现在可以选用许多方法进行用户身份验证,但多数用户仍然通过在键盘上结合输入用户名和密码来登录自己的计算机和远程计算机。某些产品使用了生物统计学、智能卡和一次性密码等更加安全的技术,而这些技术对于所有常用操作系统都可用;但实际情况是许多组织仍旧依赖于密码,并会在未来数年内维持现状。用户常常拥有许多不同的计算机帐户,分别用在工作、手机、银行、保险公司等各个方面。为简化密码的记忆任务,用户经常在每个系统中使用相同或相似的密码,而且多数用户会在允许的情况下选择简单易记的密码,例如自己的生日、母亲的娘家姓名或亲戚的姓名。对于攻击者来说,简短密码相对容易破解。攻击者用以破解受害者密码的部分常用方法包括:
• 猜测 - 攻击者企图通过反复猜测可能的字词(例如用户子女的姓名、用户的出生城市和当地运动队等)来使用用户帐户完成登录。
• 联机字典攻击 - 攻击者使用包括字词文本文件的自动程序。通过每次尝试时使用文本文件中的不同字词,该程序反复尝试登录目标系统。
• 脱机字典攻击 - 类似于联机字典攻击,攻击者获得存储哈希处理或加密处理后的用户帐户与密码的文件的副本,然后使用自动程序来破解每个帐户的密码。如果攻击者已经设法获得了密码文件的副本,此类攻击便可迅速完成。
• 脱机蛮力攻击 - 此类攻击是字典攻击的变体,但此类攻击的宗旨是破解字典攻击所用文本文件中可能没有包括的密码。尽管可以在联机状态下尝试蛮力攻击,但出于网络带宽和网络等待时间,一般是在脱机状态下使用目标系统密码文件的副本来实施此类攻击。在蛮力攻击中,攻击者将使用自动程序生成所有可能的密码的哈希值或加密值,然后将这些值与密码文件中的值进行比较。
通过使用强密码,可以显著降低所有这些攻击方法的速度,或甚至击退这些攻击。因此只要可能,对于自己的计算机帐户,计算机用户都应使用强密码。运行基于 Microsoft® Windows NT® 的 Windows 版本(包括 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server2003)的计算机都支持强密码。在 Windows 中,如果某个密码中的字符来自下面“字符类别”表格中五组中的至少三组,该密码即为强密码。
字符类别小写字母 | a、b、c... |
大写字母 | A、B、C... |
数字 | 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 |
非字母数字字符(符号) | ( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / |
Unicode 字符 | €、Γ、ƒ 和 λ |
注意:空格字符不属于这五组字符中的任何一组,也不能提高密码复杂性。
高度机密帐户(例如管理员或高级管理者使用的帐户)的密码或者用以运行重要网络服务的密码应由四组甚至全部五组中的字符组成。而另一方面,由人类使用的密码必须易于记忆,丢失高级管理人员或关键管理员帐户的密码将造成严重后果。本文档说明 Windows 系列操作系统中如何存储密码,并为管理员就如何最大程度地提高密码安全性提供了指导。
这些矛盾的要求可以通过采用密码短语(而非单词密码)来克服。支持强密码的每个 Windows 版本都支持在帐户密码中使用空格和标点符号。例如,“I re@lly want to buy 11 Dogs!”即为一个有效密码短语。该密码的字符数超过了二十个,是一个超长的密码短语,且包含的字符来自 5 个可能的组中的 4 个。而且该密码短语也易于记忆!多数密码破解工具假设密码绝不会超过 14 个字符,而这也是 DOS 网络启动磁盘、Microsoft 远程安装服务 (RIS) 预执行环境 (PXE) 启动磁盘和更老的 LAN 管理器客户端 (Win9x) 必须使用的一种限制。即使并不复杂,超长密码(大于 14 个字符,最多 128 个字符)也可能可以十分有效地防止高度机密密码被破解。
注意:请不要将本文档中的示例密码用作您的密码。尽管上面讨论的密码“I re@lly want to buy 11 Dogs!”特别长和复杂,但攻击者可能会将该密码及本文档中的其他样例密码添加到他们的攻击工具中。
如果管理员须遵循旧版系统、RIS 或类似要求,或管理员仅仅是不喜欢处理过于长的密码,使用相对较短但包含复杂字符的密码也能提供不错的保护作用。但请注意,密码长度越大,其破解难度也越高。同时增加复杂程度和长度可以使密码成为最难以破解的密码。建立贵组织的密码策略可帮助保护用户免于被攻击者冒充,从而避免贵组织机密信息的丢失、暴露或破坏。
密码策略样例
弱和空白的密码是攻击者入侵计算机与组织网络的最简单方法之一。很长时间持续使用的密码或频繁重用的密码也可能更加易于被攻击者破解。
要增强对网络中帐户的保护,访问企业计算机系统时必须使用强密码。您应该定期更改自己的密码,以及使用与以前密码不同的密码。
强密码是长度不低于八个字符的密码,且所用字符须来自下列五组中的三组:
1.小写字母
2.大写字母
3.数字(例如 1、2、3)
4.符号(例如 @、=、- 等等)
5.Unicode 字符
密码还不得包含用户帐户名中所具有的三个或更多连续字母。每 42 天即要求更改一次密码,且不得重用密码。
在更改密码之后,新密码将自动进行复杂度检查并与旧密码进行比较。这些要求可能听似令人不快,您也可能会因而记下自己的密码,并将密码记录粘贴于书桌、计算机显示器或其他一些方便位置。但如此做法即会将您的计算机和整个组织暴露于极大危险的威胁之下,因为任何人都可以接近您的计算机并使用您的凭据登录网络。因此,绝不要将密码写下来。而是应该创建易于记忆的密码。
下面,您将了解一些关于密码安全的其他背景信息以及关于如何创建易于记忆的强密码的具体建议。
使用密码短语
相对于使用“单词密码”,使用“密码短语”进行思维也许还会更简单一些。如果计算机运行的是 Windows NT 4.0 或更低版本、Windows 2000、Windows XP 和 Windows Server 2003,则可以支持十五个或更多字符(包括空格)。因此,“You can try to break this until the cows come home!”是一个完全有效的密码短语,即便使用现有最好的密码破解工具,攻击者要破解此密码也难乎其难。如果您的计算机运行上述操作系统之一,请尝试使用很长的密码短语,并包含大写字母、小写字母、数字与符号的组合。
请注意,实际应用时不应使用本文档中的示例密码,尽管上面讨论的密码 “You can try to break this until the cows come home”非常长,但攻击者可能会将此密码及本文档中的其他样例密码添加到他们自己的攻击工具中。这些密码是示例密码,您应始终创建自己独有的密码。
更多密码提示
下面的信息提供了有关创建和记忆单词密码与密码短语的各种提示,以及应执行或不应执行的操作。
1.使用多个单词
不要仅用熟人的姓名,例如“Allison”,而改用有关此人的不为他人所知的信息,例如“AllisonsBear”或“AlliesBear”。
2.使用符号而不是字符
很多人往往会在自己所知道的单词后面补充必要的符号和数字,例如“Allison1234”。但不幸的是,此类密码相对易于破解。单词“Allison”收录在大量包含常用姓名的字典中;一旦此姓名被发现,攻击者即仅需猜测另外四个相对简单的字符。因此,请改用自己可以轻松回想起来的符号替代该字中的一个或更多字母。很多人拥有自己的富有创造性的译码方法,即使用一些相似符号和数字替换字母。例如,使用“@”替换“A”,“!”替换“l”,零 (0) 替换“O”,“$”替换“S”,以及“3”替换“E”。使用这些替换,您可以认出“@llis0nbe@r”、“A!!isonB3ar”和 “A//i$onBear”,但要猜测或破解这些密码则难乎其难。请观察键盘上的符号,并思考进入脑海的第一个字符,其他人可能不会想到这个字符,而您则会记住这个字符。现在就开始使用一些此类符号作为密码的替代符号。
3.选择记忆中的事件或人物
要记住一个数月之后将进行更改的强密码,请尝试选择即将出现的人物或公共事件。借此提醒自己生活中正在发生的美好事物或自己所敬仰或喜爱的个人。如果密码非常有趣或可爱,这个密码则不太可能被忘记。将密码设置成您自己独有的密码。请务必使用包含两个或多个单词的词组,然后插入您自己的符号。例如,“J0hn$Gr@du@tion”。
4.使用单词谐音
一般说来,攻击者使用的密码字典会搜索密码中的单词。如前文所述,不要害怕使用单词,但务必在这些单词中间插入大量符号。另外一个打击攻击者的方法是避免正确拼写单词,或使用自己可以记住的有趣谐音。例如,“Run for the hills”可以变成“R0n4dHiLLs!”或“R0n 4 d Hills!”。如果您的老板恰巧叫做 Ron,您甚至可能在每天键入这个密码时暗自发笑。如果您是一位“无耻”拼字高手,那您在这场比赛中便已抢得先机。
5.不要害怕创建长密码
如果您记忆完整短语的效率更高,那就创建完整的密码短语。密码越长,其破解难度越大。尽管密码很长,但如果您自己可以轻松记住,那您在进入系统时就会少了许多麻烦,即便您的打字排名不是世界第一。
6.使用短语的首字母
要创建易于记忆的强密码,请首先写下一个易于自己记忆的大小写形式和标点符号正确的句子。例如“My daughter Kay goes to the International School”。然后,提取句子中每个单词的首字母,并保留其大小写形式。对于上例,即得“MdKgttIS”。最后,使用一些非字母数字字符替换密码中的部分字母。您可以使用“@”替换“a”,或使用“!”替换“L”。经过此番替换,上述示例密码将变成“MdKgtt!S”- 这将是一个破解难度极高而您自己却可以轻松记住的密码,只要您能记住创建该密码所依据的句子。
建议操作:
• 组合易于自己记忆而他人难以猜测的字母、符号和数字。
• 创建易于自己记忆的可读密码(即便这些密码不是单词),避免写下自己的密码。
• 尝试使用自己喜欢的短语的首字母,特别是那些包含了数字或特殊字符的组合。
• 选择两个相似字符、符号或数字,将其布置于某个数字或特殊字符的两侧。或者,也可更改拼写,在密码中包括特殊字符。这样,即得到了陌生密码(一个不错的密码,因为该密码方便您自己且仅是您自己的记忆,而对于他人则难以破解)。请参见下列示例:
“Phone + 4 + you”=“Phone4you”或“Fone4y0u”
“cat + * + Mouse”=“cat*Mouse”或“cat*Mou$e”
“attack + 3 + book”=“attack3booK”或“@tack3booK”
忌讳操作:
• 不要使用个人信息,例如自己 ID 的派生形式、家庭成员的姓名、娘家姓、汽车、牌照、电话号码、宠物、生日、社会保险号码、地址或爱好。
• 不要使用正序或逆序拼写的任何语言的任何单词。
• 不要将密码与月份联系起来,例如不要在五月使用“Mayday”。
• 不要新建与以前使用的密码极为相似的密码。
选择“Disable on www.wenxuecity.com”
选择“don't run on pages on this domain”
